보안 프로필 그룹은 보안 프로필의 컨테이너입니다. 방화벽 정책 규칙은 보안 프로필 그룹을 참조하여 네트워크에 URL 필터링 서비스 및 침입 감지 및 방지 서비스와 같은 레이어 7 검사를 사용 설정합니다.
이 문서에서는 보안 프로필 그룹과 해당 기능을 자세히 설명합니다.
사양
보안 프로필 그룹은 조직 수준 또는 프로젝트 수준에서 구성할 수 있는 리소스입니다.
조직 수준 보안 프로필 그룹: 조직 전체에서 조직 수준 보안 프로필을 그룹화하는 데 사용합니다.
프로젝트 수준 보안 프로필 그룹: 프로젝트 내에서 프로젝트 수준 보안 프로필을 그룹화하는 데 사용합니다.
보안 프로필 그룹의 이름은 다음 URL 식별자 형식으로 구성됩니다.
조직 수준:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME프로젝트 수준:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
보안 프로필 그룹의
NAME은 다음 요구사항을 충족해야 합니다.- 길이가 1~63자인 문자열
- 소문자 영숫자 문자 또는 하이픈 (-)만 포함
- 문자로 시작
예:
조직 수준 보안 프로필 그룹:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group프로젝트 수준 보안 프로필 그룹:
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group
보안 프로필 그룹 이름에 고유한 URL 식별자를 사용하는 경우 URL에는 조직 또는 프로젝트와 위치가 포함됩니다. 이름만 지정하는 경우
gcloud명령어를 사용할 때 조직 ID 또는 프로젝트 ID와 위치를 별도로 제공해야 합니다.보안 프로필 그룹에서 보안 프로필 유형
url-filtering또는threat-prevention을 순서에 관계없이 추가할 수 있습니다.
보안 프로필 그룹에는 각 유형의 보안 프로필이 하나만 포함될 수 있습니다.
예를 들어 url-filtering 유형의 보안 프로필을 추가하는 경우 트래픽을 필터링하는 것 외에도 검사하기 위해 threat-prevention 유형의 두 번째 프로필을 추가할 수 있습니다.
네트워크 트래픽의 레이어 7 검사를 수행하려면 방화벽 정책 규칙에 방화벽 엔드포인트에서 사용할 보안 프로필 그룹의 이름이 포함되어야 합니다.
보안 프로필 그룹은
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가하는 경우에만 방화벽 정책에 적용됩니다. 계층식 방화벽 정책 규칙에서는 조직 수준 보안 프로필 그룹만 구성할 수 있으며 전역 네트워크 방화벽 정책 규칙에서는 조직 수준 및 프로젝트 수준 보안 프로필 그룹을 모두 구성할 수 있습니다.방화벽 정책 규칙은 Virtual Private Cloud (VPC) 네트워크의 수신 및 발신 트래픽에 적용됩니다. 일치하는 트래픽은 구성된 보안 프로필 그룹 이름과 함께 방화벽 엔드포인트로 리디렉션됩니다. 방화벽 엔드포인트는 보안 프로필 그룹에 지정된 보안 프로필을 사용하여 도메인 및 서버 이름 표시 (SNI) 정보를 검사하고, 패킷에 위협이 있는지 검사하고, 구성된 작업을 적용합니다.
방화벽 엔드포인트는 먼저 URL 필터링 보안 프로필을 실행한 후 위협 방지 보안 프로필을 실행합니다. 그러나 엔드포인트가 HTTP(S) 메시지 헤더에서 가능한 위협을 감지하면 필요에 따라 침입 감지 및 방지 서비스를 먼저 사용하여 트래픽을 평가하고 차단할 수 있습니다. 침입 감지 및 방지 서비스에서 평가되고 차단되지 않은 트래픽은 URL 필터링 서비스에서 처리됩니다.
URL 필터링 서비스를 구성하는 방법을 자세히 알아보려면 URL 필터링 서비스 구성을 참고하세요.
위협 방지를 구성하는 방법을 자세히 알아보려면 침입 감지 및 방지 서비스 구성을 참고하세요.
각 보안 프로필 그룹에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 보안 프로필 그룹 리소스의 할당량, 액세스 제한에 사용됩니다.
gcloud auth activate-service-account명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필 그룹과 연결할 수 있습니다. 프로필 그룹을 만드는 방법을 자세히 알아보려면, 보안 프로필 그룹 만들기를 참고하세요.apply_security_profile_group작업이 있는 방화벽 규칙을 사용하여 보안 프로필 그룹을 방화벽 정책과 연결하면 다음과 같은 제약 조건이 적용됩니다.- 계층식 방화벽 정책: 조직 또는 폴더 수준에서 관리되며 조직 수준 보안 프로필 그룹만 참조할 수 있습니다.
- 전역 네트워크 방화벽 정책: 프로젝트 수준에서 관리되며 모든 프로젝트의 조직 수준 보안 프로필 그룹 및 프로젝트 수준 보안 프로필 그룹을 참조할 수 있습니다.
조직 수준 보안 프로필 그룹과 프로젝트 수준 보안 프로필 그룹의 차이점
다음은 조직 수준 보안 프로필 그룹과 프로젝트 수준 보안 프로필 그룹의 차이점을 요약한 것입니다.
- 조직 수준 보안 프로필 그룹은 조직 수준 엔드포인트와 프로젝트 수준 엔드포인트 모두에 적용됩니다.
- 프로젝트 수준 보안 프로필 그룹은 보안 프로필 그룹과 동일한 프로젝트에 있는 프로젝트 수준 방화벽 엔드포인트에 적용됩니다. 조직 수준 방화벽 엔드포인트에는 적용할 수 없습니다.
- 조직 수준 보안 프로필 그룹은 조직 수준 보안 프로필만 그룹화할 수 있습니다.
- 프로젝트 수준 보안 프로필 그룹은 동일한 프로젝트에 있는 프로젝트 수준 보안 프로필만 그룹화할 수 있습니다.
Identity and Access Management 역할
Identity and Access Management (IAM) 역할은 다음 보안 프로필 그룹 작업을 제어합니다.
- 조직 또는 프로젝트에 보안 프로필 그룹 만들기
- 조직 또는 프로젝트에서 보안 프로필 그룹 수정 또는 삭제
- 조직 또는 프로젝트에서 보안 프로필 그룹의 세부정보 보기
- 조직 또는 프로젝트에서 보안 프로필 그룹 목록 보기
- 방화벽 정책 규칙에서 보안 프로필 그룹 사용
다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 보안 프로필 그룹 만들기 | 다음 역할 중 하나:
|
| 보안 프로필 그룹 수정 | 다음 역할 중 하나:
|
| 보안 프로필 그룹 삭제 | 다음 역할 중 하나:
|
| 조직 및 프로젝트에서 보안 프로필 그룹에 대한 세부정보 보기 | 다음 역할 중 하나:
|
| 조직 및 프로젝트에서 모든 보안 프로필 그룹 보기 | 다음 역할 중 하나:
|
| 방화벽 정책 규칙에서 보안 프로필 그룹 사용 | 다음 역할 중 하나:
|